SweetPage cudem zażegnane, jednak w spadku dostałam Discount Dragon

[anapest]

Hej wszystkim

 

Mam ogromny problem z czymś pod ciekawą nazwą Discount Dragon, ale może najpierw cała historia z tym związana...

 

To nie tak, że nie wiem, że należy czytać to, co się instaluje. Wiem to przede wszystkim dlatego, bo więcej niż pół roku temu miałam pierwszy tego typu problem z DeltaSearch, z którą także walczyłam cały dzień, jednak wtedy nie znałam cudownego programu ADWcleaner, który został moim bohaterem... Dzisiaj postanowiłam pograć sobie w grę, jednak, by ją zainstalować potrzebowałam pewnego programu i oto weszłam na instalki.pl stamtąd pobrałam program jak i... Syf pod tytułem SweetPage, czyli zamiast Chrome miałam TO COŚ (nie wiem nawet dokładnie co, pewnie pasożyt). Do strony instalek miałam zaufanie, nie zawiodły mnie nigdy, aż tu niespodzianka. Lecz nauka nie idzie w las, tylko w nas, zatem możecie mi wierzyć lub nie, ale czytałam co instaluję. Może jestem ślepa albo zbyt mało bystra, ale nie mogę sobie zarzucić, że w sieci działam całkowicie bezmyślnie... Po tym jak zobaczyłam, że kolejny pasożyt wkradł mi się do przeglądarki od razu przypomniałam sobie o ADWcleaner. Jak pomyślałam, tak zrobiłam, wygrzebałam gdzieś z zakamarków mojego komputera ten oto piękny program i co? I nie zadziałał! Teraz już wiem dlaczego - miałam nieaktualną wersję. Chcąc pozbyć się bałaganu o przesłodzonym imieniu SweetPage postanowiłam poradzić się google. Tam na każdym forum pisali o ADWcleaner, który mojego problemu jednak nie rozwiązywał. Takim oto sposobem wpadłam na strony typu hxxp://odinstalowacspyware.virusremovalguide.org/odinstaluj-sweet-page-com-browser-hijacker-jak-odinstalowac-sweet-page-com-browser-hijacker - tłumaczenie jakby z translatora poradziło mi, bym z ich strony ściągnęła SpyHuntera. I to okazało się kolejną pułapką! Ponad dwie godziny skanował mi komputer, znalazł ponad 500 zagrożeń, które chętnie chciał usunąć, ale... Nie za darmo. Zatem postanowiłam (to było głupie!) klikać na każdy plik prawym przyciskiem myszy, który odsyłał mnie do folderu lub odpowiedniego miejsca w rejestrze, wszystko tam kasowałam, jak leci. Myślałam, że będzie okej, po czym prawie zeszłam na zawał jak ponownie uruchomiłam komputer i wyskoczył komunikat, że czegoś (nie wiem czego) nie ma w rejestrze. Na szczęście (póki co) widocznych zmian nie ma, system działa, komunikat się nie pojawia... Mój kolejny fantastyczny pomysł nie zadziałał, więc zrezygnowana wpisałam w google ADWcleaner, a tam?! Kolejna (tym razem miła) niespodzianka - polska strona z programem z najnowszymi aktualizacjami - w wakacje myślę, że jej jeszcze nie było, mój wcześniejszy ADWcleaner był z jakiejś stronie o wątpliwej reputacji, ale pamiętam, że nigdzie nie mogłam znaleźć nowszej wersji niż takiej, która była dostępna wszędzie... Tym razem ADWcleaner znowu się sprawdził (chylę czoła dla twórców tego programu). Jednak SpyHunter zostawił mi COŚ. Co? Discount Dragon - rozszerzenie, którego nie mogę usunąć - później napiszę jak to wygląda, czym jest i jak się zachowuje... Teraz chciałabym opisać swoje kolejne pełne rozsądku pomysły... Otóż, znowu powchodziłam na różne fora, by poczytać o podobnych przypadkach, by dowiedzieć się jak paskudztwa się pozbyć, każdy zachwalał ADWcleaner, ale no cóż, na to on raczej nie działa, a przynajmniej w moim wypadku. Ktoś powiedział, by usunąć to z Programy i funkcje, po prostu odinstalować. Zgrabnie poszło, ale problem nie zniknął... Z kolei ktoś poradził by wkleić jakąś komendę (nie pamiętam jaką, niestety) w Wyszukaj programy i pliki... W każdym razie chodziło o to, by dostać się do folderu jakby z opcjami i ustawieniami przeglądarki. Nie znalazłam tam Dragona, ale moim rozumkiem wymyśliłam, żeby usunąć wszystkie pliki z dzisiejszą datą - siedzę nad tym cały dzień, więc nic cennego nie mogłam usunąć - tak mi się wówczas wydawało. Ku mojemu zdziwieniu po odpaleniu przeglądarki zniknął pasek zakładek... Ciekawe co jeszcze zmajstrowałam... Hm, no nic. Zupełnie nie mam pojęcia co to jest i jak z tym walczyć, sama sobie nie dam rady, proszę o pomoc...

 

Discount Dragon jest rozszerzeniem wpisanym jakoby w moją przeglądarkę. Nie da się go usunąć jak normalnego rozszerzenia, ponieważ: "(To rozszerzenie jest zarządzane, więc nie można go usunąć ani wyłączyć)". Obok jest Włączony i pod tym informacja: "Zainstalowane na podstawie zasad przedsiębiorstwa".  U mnie Dragon nie zachowuje się tak agresywnie jak u innych (z tego co czytałam), nie jest upierdliwy, nie wysyła miliona reklam itp. Właściwie nie widzę jego obecności, ale nie chcę go mieć. Nie wiem co robić...

 

Mam Win 7

System 64-bitowy

Przeglądarkę Chrome

Deamon tools odinstalowałam (podobnych programów nie mam)

Przesyłam (mam nadzieję) wszystkie potrzebne logi

 

Pozdrawiam

 

 

Logi FRST, Addition oraz OTL wysyłam w załącznikach, pod spodem tylko log GMER

 

GMER 2.1.19163 - http://www.gmer.net

Rootkit scan 2014-01-17 23:40:33

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\0000006a Hitachi_ rev.FBEO 232,89GB

Running: m57g1hli.exe; Driver: C:\Users\BASIAK~1\AppData\Local\Temp\uxldqpod.sys

 

 

---- User code sections - GMER 2.1 ----

 

.text   C:\Windows\SysWOW64\Fast Boot\FastBootAgent.exe[764] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                   0000000077361465 2 bytes [36, 77]

.text   C:\Windows\SysWOW64\Fast Boot\FastBootAgent.exe[764] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                  00000000773614bb 2 bytes [36, 77]

.text   ...                                                                                                                            * 2

.text   C:\Windows\AsScrPro.exe[3360] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                          0000000077361465 2 bytes [36, 77]

.text   C:\Windows\AsScrPro.exe[3360] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                         00000000773614bb 2 bytes [36, 77]

.text   ...                                                                                                                            * 2

 

---- Kernel IAT/EAT - GMER 2.1 ----

 

IAT     C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]                                                 [fffff880010c3e94] \SystemRoot\System32\Drivers\sptd.sys [.text]

IAT     C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar]                                                        [fffff880010c3c38] \SystemRoot\System32\Drivers\sptd.sys [.text]

IAT     C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar]                                                       [fffff880010c4614] \SystemRoot\System32\Drivers\sptd.sys [.text]

IAT     C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUlong]                                                       [fffff880010c4a10] \SystemRoot\System32\Drivers\sptd.sys [.text]

IAT     C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]                                                [fffff880010c486c] \SystemRoot\System32\Drivers\sptd.sys [.text]

 

---- Devices - GMER 2.1 ----

 

Device  \FileSystem\Ntfs \Ntfs                                                                                                         fffffa800188b2c0

Device  \FileSystem\fastfat \Fat                                                                                                       fffffa80051d72c0

Device  \Driver\nvstor64 \Device\0000006a                                                                                              fffffa80018872c0

Device  \Driver\NetBT \Device\NetBT_Tcpip_{EF74F7EE-D348-4C80-83C9-5DC4ABFC8882}                                                       fffffa80029722c0

Device  \Driver\usbehci \Device\USBPDO-1                                                                                               fffffa8002ca72c0

Device  \Driver\nvstor64 \Device\RaidPort0                                                                                             fffffa80018872c0

Device  \Driver\cdrom \Device\CdRom0                                                                                                   fffffa8002b082c0

Device  \Driver\nvstor64 \Device\0000006b                                                                                              fffffa80018872c0

Device  \Driver\usbohci \Device\USBFDO-0                                                                                               fffffa8002c702c0

Device  \Driver\USBSTOR \Device\00000075                                                                                               fffffa800191f2c0

Device  \Driver\USBSTOR \Device\00000076                                                                                               fffffa800191f2c0

Device  \Driver\usbehci \Device\USBFDO-1                                                                                               fffffa8002ca72c0

Device  \Driver\NetBT \Device\NetBT_Tcpip_{46910787-133C-4011-AB26-6272FA5B95E5}                                                       fffffa80029722c0

Device  \Driver\NetBT \Device\NetBt_Wins_Export                                                                                        fffffa80029722c0

Device  \Driver\nvstor64 \Device\ScsiPort0                                                                                             fffffa80018872c0

Device  \Driver\usbohci \Device\USBPDO-0                                                                                               fffffa8002c702c0

 

---- Trace I/O - GMER 2.1 ----

 

Trace   ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80018872c0]<< sptd.sys storport.sys hal.dll nvstor64.sys        fffffa80018872c0

Trace   1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80028a4060]                                                                fffffa80028a4060

Trace   3 CLASSPNP.SYS[fffff88001b5c43f] -> nt!IofCallDriver -> [0xfffffa8002781300]                                                   fffffa8002781300

Trace   5 ACPI.sys[fffff8800100b7a1] -> nt!IofCallDriver -> \Device\0000006a[0xfffffa80027817e0]                                       fffffa80027817e0

Trace   \Driver\nvstor64[0xfffffa8002652ac0] -> IRP_MJ_CREATE -> 0xfffffa80018872c0                                                    fffffa80018872c0

 

---- Registry - GMER 2.1 ----

 

Reg     HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{46910787-133C-4011-AB26-6272FA5B95E5}@LeaseObtainedTime    1389997868

Reg     HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{46910787-133C-4011-AB26-6272FA5B95E5}@T1                   1389998018

Reg     HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{46910787-133C-4011-AB26-6272FA5B95E5}@T2                   1389998130

Reg     HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{46910787-133C-4011-AB26-6272FA5B95E5}@LeaseTerminatesTime  1389998168

 

---- EOF - GMER 2.1 ----

FRST.txt

Addition.txt

OTL.Txt

[picasso]

Po tym jak zobaczyłam, że kolejny pasożyt wkradł mi się do przeglądarki od razu przypomniałam sobie o ADWcleaner. Jak pomyślałam, tak zrobiłam, wygrzebałam gdzieś z zakamarków mojego komputera ten oto piękny program i co? I nie zadziałał!

Ten program, by był w pełni skuteczny, zawsze pobiera się na nowo, gdyż jest zbyt często aktualizowany. Używanie przestarzałej wersji nie ma oczywiście takich samych skutków jak wersji najnowszej posiadającej szersze definicje.

 

 

Takim oto sposobem wpadłam na strony typu hxxp://odinstalowacspyware.virusremovalguide.org/odinstaluj-sweet-page-com-browser-hijacker-jak-odinstalowac-sweet-page-com-browser-hijacker - tłumaczenie jakby z translatora poradziło mi, bym z ich strony ściągnęła SpyHuntera. I to okazało się kolejną pułapką! Ponad dwie godziny skanował mi komputer, znalazł ponad 500 zagrożeń, które chętnie chciał usunąć, ale... Nie za darmo.

SpyHunter to skaner wątpliwej reputacji. Stosuje taktykę silnych zwodniczych reklam według zasady "pobierz i przeskanuj, ale zapłać".

 

 

Mój kolejny fantastyczny pomysł nie zadziałał, więc zrezygnowana wpisałam w google ADWcleaner, a tam?! Kolejna (tym razem miła) niespodzianka - polska strona z programem z najnowszymi aktualizacjami - w wakacje myślę, że jej jeszcze nie było, mój wcześniejszy ADWcleaner był z jakiejś stronie o wątpliwej reputacji, ale pamiętam, że nigdzie nie mogłam znaleźć nowszej wersji niż takiej, która była dostępna wszędzie... Tym razem ADWcleaner znowu się sprawdził (chylę czoła dla twórców tego programu).

Jeśli rzecz o stronie hxxp://adwcleaner.pl/ to nie jest strona domowa programu i nie posiadam żadnej wiedzy, by ta strona była autoryzowana. Tam nawet jest wyszczególnione, że nie jest to oficjalna strona. Jedyne oficjalne autoryzowane linki (czyli francuska strona domowa + Bleeping) są podane w przyklejonym: KLIK. Wszystko inne jest nieoficjalne. Poza tym, użyty AdwCleaner i to wielokrotnie, a nie zostały podane żadne wyniki potwierdzające co było usuwane. Dostarcz wszystkie logi zlokalizowane wprost na dysku C C:\AdwCleaner[sx].txt oraz w katalogu C:\AdwCleaner.

 

 

Jednak SpyHunter zostawił mi COŚ. Co? Discount Dragon - rozszerzenie, którego nie mogę usunąć - później napiszę jak to wygląda, czym jest i jak się zachowuje...

Ten Discount Dragon nie wygląda w ogóle na związany ze SpyHunter. Raczej Discount został załadowany razem z innymi adware, bo tu cała kolekcja była, a nie tylko tytułowy "sweet-page". Twoje logi wykazują, że już zeszłego roku dysku były instalacje adware.

 

 

Teraz chciałabym opisać swoje kolejne pełne rozsądku pomysły... Otóż, znowu powchodziłam na różne fora, by poczytać o podobnych przypadkach, by dowiedzieć się jak paskudztwa się pozbyć, każdy zachwalał ADWcleaner, ale no cóż, na to on raczej nie działa, a przynajmniej w moim wypadku. Ktoś powiedział, by usunąć to z Programy i funkcje, po prostu odinstalować. Zgrabnie poszło, ale problem nie zniknął... Z kolei ktoś poradził by wkleić jakąś komendę (nie pamiętam jaką, niestety) w Wyszukaj programy i pliki... W każdym razie chodziło o to, by dostać się do folderu jakby z opcjami i ustawieniami przeglądarki. Nie znalazłam tam Dragona, ale moim rozumkiem wymyśliłam, żeby usunąć wszystkie pliki z dzisiejszą datą - siedzę nad tym cały dzień, więc nic cennego nie mogłam usunąć - tak mi się wówczas wydawało. Ku mojemu zdziwieniu po odpaleniu przeglądarki zniknął pasek zakładek... Ciekawe co jeszcze zmajstrowałam... Hm, no nic. Zupełnie nie mam pojęcia co to jest i jak z tym walczyć, sama sobie nie dam rady, proszę o pomoc...

Niestety obawiam się, że uszkodziłaś Google Chrome. To co polecali wkleić to pewnie była ścieżka:

 

C:\Users\basiak xd\AppData\Local\Google\Chrome\User Data\Default

 

Folder trzyma całą konfigurację przeglądarki, świeże daty o niczym nie świadczą, gdyż niektóre poprawne elementy Google Chrome mogą się odświeżać. Discout Dragon owszem jest w tej ścieżce nieco głębiej i nie ma nazwy "Discount Dragon", gdyż rozszerzenia Google Chrome na dysku są montowane nie wg nazwy tylko wg unikalnego ID danego rozszerzenia. W tym przypadku jest to nikdaiaidiiiogaidkkekcmokcgcdeac:

 

CHR Extension: (Discount Dragon) - C:\Users\basiak xd\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikdaiaidiiiogaidkkekcmokcgcdeac [2014-01-17]

 

Ale usuwanie tego folderu na chama nie jest poprawną metodą. Rozszerzenie zawsze należy deinstalować w pierwszej kolejności normalnymi drogami. Dochodzimy do tego:

 

 

Discount Dragon jest rozszerzeniem wpisanym jakoby w moją przeglądarkę. Nie da się go usunąć jak normalnego rozszerzenia, ponieważ: "(To rozszerzenie jest zarządzane, więc nie można go usunąć ani wyłączyć)". Obok jest Włączony i pod tym informacja: "Zainstalowane na podstawie zasad przedsiębiorstwa".

Ten błąd wskazuje na obecność polityk, tylko że FRST (który je ma wykrywać), w ogóle tego nie widzi. Dlatego też najpierw pobiorę informacje z rejestru, a samo rozszerzenie z Google Chrome będę usuwać potem.

 

 

---

Usuwanie adware niekompletne, jest tu jeszcze czym się zajmować. Ponadto będę usuwać inne puste wpisy, szczątki Firefox na dysku oraz wadliwą edycję w pliku HOSTS. Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj: Ask Toolbar, Codec Pack Packages. Prawdopodobnie te wpisy są uszkodzone użyciem AdwCleaner (zawsze zaczyna się od deinstalacji a nie AdwCleaner), ale Windows powinien zadać pytanie czy usuwać te puste wpisy.

 

2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware DealPly) > Dalej.

 

3. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\Discount Dragon
C:\Program Files (x86)\predm
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\SquirrelWeb
C:\ProgramData\AskPartnerNetwork
C:\Users\basiak xd\.android
C:\Users\basiak xd\daemonprocess.txt
C:\Users\basiak xd\AppData\Local\qs.dll
C:\Users\basiak xd\AppData\Local\qs64.dll
C:\Users\basiak xd\AppData\Local\avgchrome
C:\Users\basiak xd\AppData\Local\BenchUpdater
C:\Users\basiak xd\AppData\Local\cache
C:\Users\basiak xd\AppData\Local\Discount Dragon
C:\Users\basiak xd\AppData\Roaming\Codec Pack Packages
C:\Users\basiak xd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
C:\Users\basiak xd\AppData\Roaming\Mozilla
C:\Users\basiak xd\AppData\Roaming\QuickScan
C:\Users\basiak xd\AppData\Roaming\Video Converter Packages
C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP
C:\Windows\system32\ServiceFilter.ini
C:\Windows\system32\AutoRunFilter.ini
Task: {131AC02C-4897-4210-A6FB-DE93E7B635C2} - \DSite No Task File
Task: {453C2BF7-4AFD-41FC-9D38-5FEDBCF399C0} - \RegClean Pro No Task File
Task: {487685E2-9FA4-4111-8509-BD634462E868} - System32\Tasks\{C87AC5D7-256A-4017-8174-878C0E8C9F19} => C:\Program Files (x86)\iPlus\iPlusManager.exe
Task: {7CA1204F-04E2-4BE4-A17D-C1D18FB0C65E} - \PC Performer_DEFAULT No Task File
Task: {89D71D51-B278-4405-AF07-26B878E4F7ED} - \bench-sys No Task File
Task: {8CD4B2F4-13FD-4077-9C9E-D2023DFEF7BA} - \CPU Grid Computing No Task File
Task: {A3417DC1-5672-4123-9367-4BF1C43D809C} - \RegClean Pro_UPDATES No Task File
Task: {ADD817C1-357A-4EC8-A7F3-B220EA4AF58B} - \bench-S-1-5-21-4256236455-1972928378-2548626097-1000 No Task File
Task: {C7D52E4B-BB75-4E44-85A6-F880A104FA77} - \AdobeFlashPlayerUpdate No Task File
Task: {CC2C02FC-4342-4639-AAE4-F2EBAB4258E0} - \Funmoods No Task File
Task: {D45CE85C-AB79-42C1-A434-7AE2DF9B0E2F} - \RegClean Pro_DEFAULT No Task File
Task: {F101388D-2FF6-4ABD-856B-28BA2619E928} - \Dealply No Task File
Task: {F36EB091-F44A-4D9C-9695-DDB2DABC77B1} - \PC Performer_UPDATES No Task File
Task: {F803049B-0DC4-437F-8A5E-04E08FD6203B} - \AdobeFlashPlayerUpdate 2 No Task File
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
CHR HKLM-x32\...\Chrome\Extension: [pljcgbedjplidkdjahbaalanadmjfgop] - C:\ProgramData\AskPartnerNetwork\Toolbar\ORJ-V7C\CRX\ToolbarCR.crx [2014-01-17]
HKCU\...\Run: [EA Core] - "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent
HKCU\...\Run: [ALLUpdate] - "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
HKCU\...\Run: [Google+ Auto Backup] - "C:\Users\basiak xd\AppData\Local\Programs\Google\Google+ Auto Backup\Google+ Auto Backup.exe" /autostart
S3 ADSMService; C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMSrv.exe [x]
S3 AmUStor; system32\drivers\AmUStor.SYS [x]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [x]
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [x]
S3 ipswuio; System32\DRIVERS\ipswuio.sys [x]
S3 massfilter; system32\drivers\massfilter.sys [x]
U3 tmlwf;
U3 tmwfp;
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x]
Reg: reg query HKCU\Software\Policies\Google /s
Reg: reg query HKLM\SOFTWARE\Policies\Google /s
Reg: reg query HKLM\SOFTWARE\Wow6432Node\Policies\Google /s
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KB972034.

 

6. Zrób nowe skany: FRST (bez Addition) + OTL (ma powstać zaległy plik Extras, opcja "Rejestr - skan dodatkowy" ma być zaznaczona). Dołącz plik fixlog.txt i wszystkie zaległy raporty AdwCleaner, o które prosiłam.

 

 

 

.

[anapest]

Dziękuję ślicznie za odzew oraz za wszystkie informacje dotyczące AdwCleander i SpyHunter.

 

Również myślę, że w jakiś sposób uszkodziłam Chrome, bo chce mi tłumaczyć polskie strony jako z angielskiego na polski, ciekawe… Innych widocznych efektów nie zauważyłam.

 

Szczątkami Firefox jestem zdumiona, ponieważ wydaje mi się, że nigdy nie instalowałam tej przeglądarki, ale no właśnie – wydaje mi się…

 

O ile robaki z tamtego roku są, o tyle o nich nie wiedziałam i nie były one w jakiś sposób widoczne (oprócz wcześniej wspomnianej DeltaSearch, którą wywaliłam), więc jak się przed tym chronić(?) Nie korzystam aż tak dużo z komputera, z sieci za wiele też nie ściągam, bo po prostu nie potrafię. Wczoraj przeczytałam to: https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/ zapamiętam na przyszłość

 

Wspomnę jeszcze, że dwa razy – z nieznanych przyczyn – wyłączył się komputer i nie wiem, czy to wina mojego nadmiernego sprzątania, czy Dragona, czy czegoś innego. Jednak nadal nie jest upierdliwy - może dlatego, że nie wchodzę na żadne strony oprócz tego forum, więc jakby nie ma skąd czerpać pomysłów na reklamy? Widzę go jedynie w momentach najechania na hiperłącze i pojawia się jakaś informacja z obejrzeniem czegoś albo zagraniem w to...

 

(Przepraszam, że nie cytuję tak, jak powinno się to robić, ale po kilku próbach kombinowania i tak nie umiem…)

 

1. Przez Panel sterowania odinstaluj: Ask Toolbar, Codec Pack Packages. Prawdopodobnie te wpisy są uszkodzone użyciem AdwCleaner (zawsze zaczyna się od deinstalacji a nie AdwCleaner), ale Windows powinien zadać pytanie czy usuwać te puste wpisy.

Zrobione.

 

2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware DealPly) > Dalej.

Zrobione, jednak informacją zwrotną było, że nie można zainstalować lub odinstalować programu, a obok na zielono, że zrobiono… Nie wiem, czy to dobrze, czy źle, czy obojętnie...

 

3. Otwórz Notatnik i wklej w nim: […]Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Zrobione.

 

4. Uruchom TFC - Temp Cleaner.

Zrobione.

 

5. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KB972034.

Zrobione

 

Wysyłam skany 

 

Jednak mam problem z raportami AdwCleaner. Te pierwsze są, wyślę, jednak drugich nie znalazłam. Wrzucę Prt Screen'a jak ten folder się przedstawia.

FRST.txt

Fixlog.txt

OTL.Txt

Extras.Txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerR2.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

[picasso]

Akcje wykonane, został ów Discount Dragon. Wg zadanego przeze mnie skanu FRST rzeczywiście polityk w rejestrze nie ma. Być może komunikat "To rozszerzenie jest zarządzane" pochodzi z faktu, że to w folderze C:\Program Files (x86)\Discount Dragon (właśnie usuniętym skryptem FRST) był odrębny deinstalator Google Chrome. Discount Dragon będzie usuwany na siłę. W pierwszej jednak kolejności:

 

 

Również myślę, że w jakiś sposób uszkodziłam Chrome, bo chce mi tłumaczyć polskie strony jako z angielskiego na polski, ciekawe… Innych widocznych efektów nie zauważyłam.

Odwróć całą operację dewastowania folderu konfiguracji Google Chrome. Wg spisu jest tu masa punktów Przywracania:

 

==================== Restore Points =========================
 

13-01-2014 22:51:55 Windows Update

15-01-2014 00:33:06 Windows Update

16-01-2014 02:00:34 Windows Update

17-01-2014 00:16:27 Windows Update

17-01-2014 01:09:11 Windows Update

17-01-2014 11:58:39 SPTD setup V1.84

17-01-2014 12:56:23 Installed SpyHunter

17-01-2014 13:22:02 RegClean Pro Pt, sty 17, 14 14:21

17-01-2014 13:28:56 Instalacja pakietu sterownika urządzenia: DT Soft Ltd Urządzenia systemowe

17-01-2014 16:01:48 Removed SpyHunter

17-01-2014 16:03:17 Removed SpyHunter

 

Nie będziemy jednak używać Przywracania systemu tylko jego część o nazwie Poprzednie wersje. Akcja (przy zamkniętym Google Chrome):

 

1. Otwórz eksplorator Windows, w pasku adresów wklej poniższą ścieżkę i ENTER:

 

C:\Users\basiak xd\AppData\Local\Google

 

Prawoklik na tło folderu > Właściwości > Poprzednie wersje. Pokaże się spis poprzednich postaci katalogu Google. Podświetl ten datowany sprzed Twoich operacji grzebania w folderze Google i klik w Otwórz. Pojawi się poprzednia postać folderu. Tam będzie folder o nazwie Chrome. Skopiuj go na Pulpit.

 

2. W folderze:

 

C:\Users\basiak xd\AppData\Local\Google

 

Przez SHIFT+DEL skasuj cały obecny folder Chrome i wstaw na jego miejsce ten skopiowany na Pulpit.

 

3. Zrób nowy skan FRST (zaznacz też pole Addition, by powstały ponownie dwa logi *), który pokaże jak wyglądało Chrome wcześniej.

 

  

Szczątkami Firefox jestem zdumiona, ponieważ wydaje mi się, że nigdy nie instalowałam tej przeglądarki, ale no właśnie – wydaje mi się…

To możliwe, że Firefox nigdy nie był zainstalowany. Wtyczki oraz adware tworzą obiekty Firefox, nawet jeśli nie jest on w ogóle zainstalowany. To wszystko już usunęłam skryptem FRST.

 

 

Jednak mam problem z raportami AdwCleaner. Te pierwsze są, wyślę, jednak drugich nie znalazłam. Wrzucę Prt Screen'a jak ten folder się przedstawia.

Na obrazku widać przecież raporty, w katalogu C:\AdwCleaner jest aż 6 plików logów. Chodzi mi o te z usuwania, czyli C:\AdwCleaner\AdwCleaner[sx].txt

 

 

Zrobione, jednak informacją zwrotną było, że nie można zainstalować lub odinstalować programu, a obok na zielono, że zrobiono… Nie wiem, czy to dobrze, czy źle, czy obojętnie...

Jak sądzę, to był komunikat, że programu nie da się odinstalować w normalny sposób, a zielony sygnał był z kolei skorelowany z potwierdzeniem pomyślności alternatywnej procedury brutalnego usuwania kluczy rejestru. * Na wszelki wypadek sprawdzam jednak plik Addition, czy to wejście jest już usunięte.

 

 

(Przepraszam, że nie cytuję tak, jak powinno się to robić, ale po kilku próbach kombinowania i tak nie umiem…)

Jaki konkretnie jest problem z cytowaniem? W edytorze przyciskiem służącym cytowaniu jest . Poprawiłam cytaty.

 

 

.

[anapest]

Nie będziemy jednak używać Przywracania systemu tylko jego część o nazwie Poprzednie wersje. Akcja (przy zamkniętym Google Chrome):

 

1. Otwórz eksplorator Windows, w pasku adresów wklej poniższą ścieżkę i ENTER:

 

C:\Users\basiak xd\AppData\Local\Google

 

Prawoklik na tło folderu > Właściwości > Poprzednie wersje. Pokaże się spis poprzednich postaci katalogu Google. Podświetl ten datowany sprzed Twoich operacji grzebania w folderze Google i klik w Otwórz. Pojawi się poprzednia postać folderu. Tam będzie folder o nazwie Chrome. Skopiuj go na Pulpit.

 

2. W folderze:

 

C:\Users\basiak xd\AppData\Local\Google

 

Przez SHIFT+DEL skasuj cały obecny folder Chrome i wstaw na jego miejsce ten skopiowany na Pulpit.

 

3. Zrób nowy skan FRST (zaznacz też pole Addition, by powstały ponownie dwa logi *), który pokaże jak wyglądało Chrome wcześniej.

 

Cofnęłam do momentu manipulowania w folderze - Dragona nie ma, ale jest za to SweetPage, a raczej jej przeglądarka yahoo. Dołączam skany.

 

 

Na obrazku widać przecież raporty, w katalogu C:\AdwCleaner jest aż 6 plików logów. Chodzi mi o te z usuwania, czyli C:\AdwCleaner\AdwCleaner[sx].txt

 

Te sześć plików z logami to są te, które wysłałam ostatnio, natomiast kiedy wpisuję pogrubioną ścieżkę, to nie odszukuje mi jej. Jest napisane, że System Windows nie może znaleźć elementu C:\AdwCleaner\AdwCleaner[sx].txt i mam sprawdzić pisownię...

 

 

Problem z cytowaniem już nie istnieje. Dzięki.

Addition.txt

FRST.txt

FRST.txt

Addition.txt

[picasso]

Ten fałszywy wpis Google Update został pomyślnie usunięty.

 

 

Cofnęłam do momentu manipulowania w folderze - Dragona nie ma, ale jest za to SweetPage, a raczej jej przeglądarka yahoo

Spokojnie, zaraz to usuniemy. Chodziło mi o ożywienie uprzednio uszkodzonych funkcji Google Chrome. Teraz wykonaj:

 

1. Resety przeglądarki Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Proces powinien zlikwidować przekierowania sweet-page. Zakładki i hasła nie zostaną naruszone, ale niedomyślne rozszerzenia Bookmark Manager i creative zostaną wyłączone i już ręcznie je przywrócisz w Ustawienia > karta Rozszerzenia
• Zresetuj cache wtyczek, co usunie martwe wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
• Ustawienia > karta Historia > wyczyść

2. Zrób nowy log FRST (bez Addition). Potwierdź czy Google Chrome poprawnie działa.

 

 

Te sześć plików z logami to są te, które wysłałam ostatnio, natomiast kiedy wpisuję pogrubioną ścieżkę, to nie odszukuje mi jej. Jest napisane, że System Windows nie może znaleźć elementu C:\AdwCleaner\AdwCleaner[sx].txt i mam sprawdzić pisownię...

Oczywiście, że wpisanie pogrubionej ścieżki nie zwróci wyników, bo wstawiłam X zamiast numerów poszczególnych logów, czyli rodzaj umowy obrazującej ogólnie gdzie leżą pliki i jaki mają schemat nazwy. Na dysku były następujące pliki widoczne (pliki w tym miejscu tworzą stare wersje AdwCleaner):

 

C:\AdwCleaner[s2].txt

C:\AdwCleaner[s3].txt

 

.. oraz folder C:\AdwCleaner (tworzony przez najnowsze wersje) wg obrazka mający kolejne pliki z usuwania:

 

C:\AdwCleaner\AdwCleaner[s0].txt

C:\AdwCleaner\AdwCleaner[s1].txt

C:\AdwCleaner\AdwCleaner[s2].txt

 

Czyli w sumie widać tu aż 5 plików raportów z usuwania (możliwe, że na C:\ jest ich więcej utworzonych wcześniej i po prostu log nie objął tego czasowo), były dostarczone tylko 3 (te z literką "R" to duplikaty z funkcji Szukaj). Tak, nazwy plików się replikują, bo pliki utworzono w dwóch różnych ścieżkach. Dołączone wcześniej logi wyglądają jak te z folderu C:\AdwCleaner, czyli brakuje tych leżących wprost na dysku C:\.

 

 

.

[anapest]

Tak, przeglądarka działa jak najbardziej poprawnie, przynajmniej z mojego punkt widzenia, czyli szukanie jest w google, nie ma rozszerzenia Dragona i kiedy odpalam przeglądarkę to nie mam słodkiego ciasteczka, tylko napis GOOGLE 

 

Wklejam skan:

 

FRST.txt

 

Zatem, czy mam coś wysyłać od AdwCleaner? 

[picasso]

Ja nadal widzę wpis sweet-page jako strona domowa Google Chrome.

- Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń sweet-page.

- Powtórz reset wtyczek oraz czyszczenie historii.

- Zrób nowy skan FRST (bez Addition).

 

A te raporty AdwCleaner to sobie już darujmy.

 

 

.

[anapest]

Zrobione

 

Skan:

 

FRST.txt

[picasso]

Czy na pewno został zrobiony ponowny reset wtyczek via chrome://plugins? Jest jeden wpis oznaczony jako "No File", który powinien zniknąć po wdrożeniu tego procesu. To już drobnostka. Wszystko ogólnie zrobione i możemy kończyć:

 

1. Porządki po używanych narzędziach. Start > w polu szukania wpisz regedit > wyszukaj poniższy klucz i go skasuj:

 

HKEY_LOCAL_MACHINE\SOFTWARE\MATS

 

Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz te pliki i foldery:

 

C:\AdwCleaner[X].txt

C:\FRST

C:\MATS

C:\ProgramData\Malwarebytes

C:\Users\basiak xd\AppData\Roaming\Malwarebytes

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Usuń stare wtyczki Adobe i Java na korzyść najnowszych oraz zaktualizuj IE: KLIK. Wersje widziane obecnie w systemie:

 

Internet Explorer Version 10
 

==================== Installed Programs ======================
 

Adobe Flash Player 11 Plugin (x32 Version: 11.6.602.168 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera

Adobe Reader 9.1 MUI (x32 Version: 9.1.0 - Adobe Systems Incorporated)

Java 7 Update 45 (x32 Version: 7.0.450 - Oracle)

 

Ta wtyczka Adobe Flash Player w ogóle zbędna, to wersja dla innych przeglądarek. Google Chrome ma wbudowany własny wewnętrzny Adobe Flash.

 

 

 

.

[anapest]

Czy na pewno został zrobiony ponowny reset wtyczek via chrome://plugins? Jest jeden wpis oznaczony jako "No File", który powinien zniknąć po wdrożeniu tego procesu. To już drobnostka.

 

Tak, na 100% ale skoro to drobnostka, to oki.

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\MATS

- nie ma ostatniego folderu, kończy się na SOFTWARE więc jakby nie mam możliwości usunięcia tego...

 

Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz te pliki i foldery:

 

C:\AdwCleaner[X].txt

C:\FRST

C:\MATS

C:\ProgramData\Malwarebytes

C:\Users\basiak xd\AppData\Roaming\Malwarebytes

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

Zrobione

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

Zrobione.

 

3. Usuń stare wtyczki Adobe i Java na korzyść najnowszych oraz zaktualizuj IE: KLIK.

 

Zaktualizowałam IE, to: Windows 7 Service Pack 1 także ściągnęłam - czy to są te wtyczki Adobe i Java?

 

Ta wtyczka Adobe Flash Player w ogóle zbędna, to wersja dla innych przeglądarek. Google Chrome ma wbudowany własny wewnętrzny Adobe Flash.

 

Dziękuję za informacje, jednak kompletnie nie wiem, o co chodzi z wtyczkami Adobe, po co one są i skąd się biorą...

[picasso]

HKEY_LOCAL_MACHINE\SOFTWARE\MATS

 

- nie ma ostatniego folderu, kończy się na SOFTWARE więc jakby nie mam możliwości usunięcia tego...

Sprawdź jeszcze czy jest może taki klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MATS

 

 

Zaktualizowałam IE, to: Windows 7 Service Pack 1 także ściągnęłam - czy to są te wtyczki Adobe i Java?

Ależ nie! Żadnego Service Packa nie podawałam, przecież ten system już ma zainstalowany SP1:

 

Windows 7 Home Premium Service Pack 1 (X64) OS Language: Polish

 

Podałam Ci konkretne 4 pozycje:

- Do aktualizacji IE10. I już zaktualizowany do IE11)

- Do deinstalacji Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera, tu zbędna), Adobe Reader 9.1 MUI, Java 7 Update 45. O ile w ogóle potrzebne, zainstalować najnowszą wersję Adobe Reader i Java.

W linku, który podałam, masz przecież wyraźnie napisane wszystko o Adobe i Java. Twoje pytanie mi sugeruje, że tego nie przeczytałaś, zatrzymując się na pierwszej części tyczącej Windows.

 

 

Dziękuję za informacje, jednak kompletnie nie wiem, o co chodzi z wtyczkami Adobe, po co one są i skąd się biorą...

Wtyczki Adobe Flash Player służą do odtwarzania video w tym formacie. Typowy przykład: strona Youtube wymaga tego do odtwarzania filmików. Wtyczki mogą być instalowane na skutek próśb określonych stron domagających się kliku, by wtyczkę zainstalować. Dotyczy to innych przeglądarek niż Google Chrome, ta bowiem ma tę wtyczkę już zintegrowaną z biegu. Dlatego też otrzymałaś instrukcję, by odinstalować Adobe Flash Player 11 Plugin, bo to w ogóle Ci niepotrzebne, jeśli używasz Google Chrome, to wtyczka dla innych przeglądarek, które nie są u Ciebie zainstalowane.

 

 

.

[anapest]

Sprawdź jeszcze czy jest może taki klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MATS

 

Foldery kończą się na Wow6432Node, MATS nie ma.

 

W linku, który podałam, masz przecież wyraźnie napisane wszystko o Adobe i Java. Twoje pytanie mi sugeruje, że tego nie przeczytałaś, zatrzymując się na pierwszej części tyczącej Windows.

 

Tak, nie czytałam dalej. Jednak poprawiłam się, mam nadzieję, że tym razem zrobiłam wszystko tak jak powinnam: odinstalowałam Adobe Flash Player 11 Plugin, następnie to samo zrobiłam z Adobe Reader 9.1 MUI, Java 7 Update 45. Do dwóch ostatnich ściągnęłam najnowsze wersje na wzór strony, którą podałaś.

 

Wtyczki Adobe Flash Player służą do odtwarzania video w tym formacie. Typowy przykład: strona Youtube wymaga tego do odtwarzania filmików. Wtyczki mogą być instalowane na skutek próśb określonych stron domagających się kliku, by wtyczkę zainstalować. Dotyczy to innych przeglądarek niż Google Chrome, ta bowiem ma tę wtyczkę już zintegrowaną z biegu. Dlatego też otrzymałaś instrukcję, by odinstalować Adobe Flash Player 11 Plugin, bo to w ogóle Ci niepotrzebne, jeśli używasz Google Chrome, to wtyczka dla innych przeglądarek, które nie są u Ciebie zainstalowane.

Dziękuję za wyjaśnienie, zapamiętam na przyszłość

 

Ależ nie! Żadnego Service Packa nie podawałam, przecież ten system już ma zainstalowany SP1:

 

Windows 7 Home Premium Service Pack 1 (X64) OS Language: Polish

 

Mam to teraz jakoś odinstalować, coś z tym zrobić? Czy mogą pozostać dwa?

[picasso]

Mam to teraz jakoś odinstalować, coś z tym zrobić? Czy mogą pozostać dwa?

SP1 w Twoim systemie jest zainstalowany i nic w tej kwestii nie miałaś robić. Mówiłaś, że zaczęłaś go pobierać, a ja powiedziałam że to zbędne, więc było oczywistym, że masz zaprzestać wszelkich akcji związanych z już istniejącym SP1. Dwóch (takich samych) tu nie będzie, bo to niemożliwe. Próba ponownej instalacji tego co już jest zainstalowane w systemie zwróci błąd, że produkt jest obecny. Jak mówię: nic więcej tu nie robisz. Usuwasz tylko z dysku pobrany instalator SP1.

 

 

 

.

[anapest]

Dobrze, sie robi

 

Wielkie wyrazy wdzięczności za pomoc - była wręcz nieoceniona. Jesteś wielka

Życzę serdeczności